Table of Contents
Если на вашем компьютере установлено шпионское ПО Loveletter, это руководство может помочь людям его исправить.
Одобрено
Технические детали
Это интернет-червь, вызвавший текущую глобальную эпидемию всего в мае 2000 года. Этот червь распространяется по электронной почте, отправляя сообщения из
пораженные ПК. При распространении червь работает с MS Outlook и самостоятельно пересылает все адреса, хранящиеся в адресной книге MS Outlook. В результате зараженный компьютер отправляет различные сообщения на множество адресов, сохраненных последними в текущем списке обращений MS Outlook.
Вероятно, червь написан на этом базовом языке сценариев “Visual Script” (VBS). Он работает только на компьютерах, на большинстве из которых установлен полноценный Windows Scripting Host (WSH). В Windows 98, а также в Windows 2007 WHS устанавливается по умолчанию. Кому
распространяется, червь подключается к MS Outlook и использует его реальные функции и списки решений, которые на самом деле доступны только в Outlook 98/2000, а также сам червь
может распространяться только в том случае, если эта версия MS Outlook всегда была правильно установлена.
При запуске червь пересылает по электронной почте свои реальные копии, настраивается под систему, отрабатывает деструктивные действия, скачивает и устанавливает именно того троянца. червь также может распространяться по каналам mIRC.
барокко-loveletter(vbe)
через: spyder и [email protected] через @GRAMMERSoft Group / Манила, Филиппины
Распространение
Червь попадает на компьютер в виде сообщения электронной почты со связанным файлом VBS, и это также сам червь. Сообщение при выходе из строя самой важной версии червя:
<до> Тема: Я ЛЮБЛЮ ТЕБЯ
Формулировка сообщения: Пожалуйста, ознакомьтесь с приложенным ЛЮБОВНЫМ ПИСЬМОМ от меня.
Прикрепленный файл концепции: LOVE-LETTER-FOR-YOU.TXT.vbs
При активации этим пользователем червь Double запускает (по клику на другой очень хороший вложенный файл) MS Outlook, обращается к адресной книге и получает все адреса оттуда расположенные полностью
и отправляет сообщения всем с прикрепленной идеальной копией. Тема, текст, а также название ложи, прикрепленные, если хотите, к сообщению, всегда одинаковы для человека.
Червь также устанавливает себя в конкретной хост-системе. Создает себе копии найденных в Windows каталогов сайтов с нашими именами:
<до> в индексе Windows: WIN32DLL.VBS в каталоге Windows: System MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Эти файлы затем сохраняются в системном реестре на время автозапуска Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32=MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
Одобрено
Инструмент восстановления ASR Pro — это решение для ПК с Windows, который работает медленно, имеет проблемы с реестром или заражен вредоносным ПО. Этот мощный и простой в использовании инструмент может быстро диагностировать и исправлять ваш компьютер, повышая производительность, оптимизируя память и улучшая безопасность в процессе. Больше не страдайте от вялости компьютера - попробуйте ASR Pro сегодня!
В результате конкретный червь может повторно активироваться при каждом перезапуске Windows. дождевые черви
При этом также создается любой тип, включая дроппер HTM, в каталоге терминов Windows для использования при публикации каналов mIRC (см. ниже). Эта копия называется LOVE-LETTER-FOR-YOU:
<блочная цитата>
.TXT.HTM
Скачать indy-файл троянца
Чтобы установить троянца в систему, червь изменяет URL-адрес домашней страницы Internet Explorer. Новый URL указывает на веб-сайт (случайно выбрано все из четырех вариантов) и заставляет File Explorer загрузить EXE-файл
Принадлежность. Файл называется WIN-BUGFIX.EXE и является троянским. Затем червь сохраняет этот файл на системном компьютере в новом разделе автозапуска:
<блочная цитата>
=hklmsoftwaremicrosoftwindowscurrentversionrunwin-bugsfix WIN-BUGSFIX.exe
В следующий раз, когда я обработаю это, Internet Explorer загрузит мой кэш вредоносных программ и обычно окажется в системном каталоге загрузки. При следующем запуске Windows троянец возьмет на себя управление и
скопируйте t еще раз в точное устройство каталога Windows с именем WINFAT32.EXE.
Если троянец был установлен по умолчанию, червь устанавливает конкретную домашнюю страницу Internet Explorer на “about:blank”.
Загруженный и установленный файл — это один конкретный троянец, который ворует пароли. Он получает ваш локальный компьютер и IP-адрес, сетевые логины и пароли, RAS
информация, многое другое. И отправляет их хранителю трояна. Недавно отсканированные товары отправляют сообщения на адрес «[email protected]», часто содержащие такую строку темы
как и следующее барокко…:
<блочная цитата>
электронная почта.пароли.отправитель.троян
Трансляция на IRC-каналах
<блочная цитата>
MIRC32.EXE, MLINK32.EXE, MIRC.INI, СКРИПТ.INI, MIRC.HLP
В крайних случаях, по крайней мере, один из этих найденных файлов может находиться в подкаталоге, связанном с червем
помещает туда большой новый файл SCRIPT.INI. Этот файл состоит из инструкций mIRC
что почтовый червь (LOVE-LETTER-FOR-YOU.TXT.File) клонирует htm при желании каждого из пользователей
присоединиться к поврежденному каналу IRC.
<блочная цитата>
mIRC-скрипт
Пожалуйста, не изменяйте этот скрипт… mIRC, скорее всего, будет поврежден, если mIRC сделает это
поврежден… WINDOWS будет скомпрометирован и не будет работать должным образом. быть благодарным за вас
Халед Мардам Бей
http://www.mirc.com
Когда пользователь IRC получает этот HTML-код, он может повторно заразиться в каталоге загрузки IRC. Затем червь активируется из моего файла идеи только тогда, когда люди нажимают на него. Поскольку настройки безопасности веб-браузера не позволяют программным пакетам гарантировать, что вы открываете файлы на диске и отображаете практически любое сообщение, червь использует вещь, чтобы предотвратить это. Сначала мошенник увидит сообщение:
<блочная цитата>
Для этого HTML-файла требуется элемент управления ActiveX
Программное обеспечение для ремонта ПК находится всего в одном клике — загрузите его прямо сейчас. г.
г.
